Le piège classique
L'article 51 désigné l'autorité de contrôle competente. Au Luxembourg, c'est la CNPD (Commission nationale pour la protection des données), basee a Belval. Le piège courant : confondre la CNPD avec une mythique APDL qui n'existe pas, ou se tromper d'autorité chef de file pour un groupe transfrontalier. Les organisations qui repondent a la mauvaise autorité, ou qui ignorent un courrier de la CNPD parce qu'il a ete classe comme spam, déclenchent une procédure formelle qui se solde régulièrement par une sanction pour defaut de cooperation (article 31) en plus de la non-conformite de fond.
Identifier la bonne autorité : checklist opérationnelle
- établissement unique au Luxembourg : autorité competente = CNPD. Point.
- établissement principal au Luxembourg + activités transfrontalières UE : CNPD devient autorité chef de file au sens de l'article 56. Les CNIL, APD/GBA et autres autorités concernees coordonnent via le mécanisme de coherence (article 63).
- établissement principal hors Luxembourg : la CNPD reste competente pour les plaintes locales, mais la chef de file est ailleurs. Identifiez-la avant tout incident.
- Pas d'établissement UE : article 27, vous devez désigner un représentant UE. La competence territoriale suit le représentant.
- Lignes directrices applicables : EDPB Guidelines 8/2022 sur l'identification de l'autorité chef de file, a relire des qu'il y a une filiale ou un siege secondaire.
- Canal de contact CNPD : whitelistez les domaines cnpd.lu et cnpd.public.lu dans votre passerelle mail. Un courrier officiel ignore 30 jours est une circonstance aggravante.
La dualité Luxembourg : CNPD et secteur regule
Au Luxembourg, la CNPD n'est pas seule a contrôler le traitement de données. Pour les acteurs financiers, la CSSF intervient en parallele sur les obligations sectorielles (et DORA depuis 2025). Pour la sante, la Direction de la Sante et le Patient Number. La CNPD reste l'unique autorité RGPD, mais une enquête CSSF peut déclencher un signalement a la CNPD, et inversement. Mappez vos autorités de tutelle des le registre des traitements.
Comment Luxgap automatise ce risque
Notre outil Luxgap Authority Mapper est un module qui cartographie automatiquement vos autorités de contrôle competentes, traitement par traitement, établissement par établissement. Il croise votre registre RGPD (article 30), vos entités juridiques (extraits RCS), vos flux transfrontaliers detectes et la matrice EDPB pour identifier la chef de file et les autorités concernees. Integrations : Odoo, M365, registres LBR/RCS, annuaire EDPB, parser de courriers entrants Outlook/Gmail.
- Module Lead Authority Detector : identifié la CNPD comme chef de file ou comme autorité concernee selon votre structure UE.
- Module Inbox Sentinel : detecte tout courrier provenant de cnpd.lu, cnil.fr, gegevensbeschermingsautoriteit.be et alerte le DPO en moins de 2 heures.
- Module Cross-Regulator : signale les chevauchements CNPD / CSSF / CAA / ILR pour les acteurs regules.
- Sortie : fiche PDF Autorités competentes par traitement, exportable et opposable.
- Registre EDPB : suivi automatique des décisions et guidelines applicables a votre secteur.
Disponible en SaaS (Starter jusqu'a 3 établissements UE, Pro jusqu'a 15, Enterprise illimite multi-juridictions), ou inclus dans le mandat DPO externe Luxgap. Demandez une demo avec cartographie gratuite de vos autorités competentes en 48h.
